入侵排查
(1)首先我们要做的就是恢复一些我们常用的用来排查的工具,比如,ls,ps,netstat,lsof等命令。
/root/chattr -i -a /bin/ps && rm /bin/ps -f #删除这些可能被感染的命令,比如ps,ls,netstat,lsof,top等。可以通过ls -lh /bin/ps 查看这些命令的大小和正常程序是否一致
接下来可以找一个相同操作系统的的ps,ls, netstat,lsof命令,将这些命令复制到被感染的系统中,临时使用。
(2)其次我们需要对系统做一个全面检查
a.检查系统日志
检查系统错误登陆日志,统计IP重试次数(last命令是查看系统登陆日志,比如系统被reboot或登陆情况)
注:此时last命令也有可能变得不可靠,需要检查
b.检查系统用户
查看是否有异常的系统用户
[root@bastion-IDC ~]# cat /etc/passwd
查看是否产生了新用户,UID和GID为0的用户
[root@bastion-IDC ~]# grep “0” /etc/passwd
查看passwd的修改时间,判断是否在不知的情况下添加用户
[root@bastion-IDC ~]# ls -l /etc/passwd
查看是否存在特权用户
[root@bastion ~]# awk -F: ‘3==0 {print3==0 {print1}’ /etc/passwd
查看是否存在空口令帐户
[root@bastion ~]# awk -F: ‘length(2)==0 {print2)==0 {print1}’ /etc/shadow
c.检查异常进程
top #仔细检查异常进程pid
ls -l /proc/pid/exe 查看异常进程命令所在地
kill -9 970 #杀掉这个进程之后发现根本不管用,春风吹又生,又从/usr/bin/转移到/bin,再又转移到/tmp.这个时候必须注意倒病毒后台有监控进程,进程死掉了之后,立马又重新起来一个新的进程。
3、更多异常文件的发现
(1)查看定时任务文件crontab -l 并没有发现什么一次,查看/etc/crontab发现异常脚本gcc.sh。
(2)然后查看系统启动文件rc.local然后进入/etc/init.d目录查看,发现比较奇怪的脚本文件DbSecuritySpt、selinux。
第一个文件可以看出他就是开机启动那个异常文件的,第二个应该和登录有关,具体我还不是很清楚,反正肯定是有问题的。
既然和登录有关,那就找和ssh相关的,找到了下面的一个文件,是隐藏文件,这个也是木马文件,我们先记录下来,这样程序名字都和我们的服务名字很相近,就是为了迷惑我们,他们的大小都是1.2M,他们有可能是一个文件。
我有看了一下木马喜欢出现的目录/tmp,也发现了异常文件,从名字上感觉好像是监控木马程序的。
- PC官方版
- 安卓官方手机版
- IOS官方手机版
下载 
下载 
下载 
软件工程导论(第6版)电子图书
软件工程导论配套题库pdf 免费版
web渗透技术及实战案例解析pdf电子书免费下载
黑客攻防技术宝典web实战篇第二版高清完整版
mysql高效编程电子书高清版
数据库原理第5版pdf电子书高清免费版
Android开发从入门到精通扫描版高清免费版
solidworks2012视频教程详细版
VBA学习资料(EXCEL+网抓)1.0 中文免费版
产品经理认证(NPDP)知识体系指南pdf 完整免费版
即学即用的WPS表格技巧pdf电子版
pycharm中文指南pdf高清完整版
网络工程师教程第五版电子版清晰版
Chrome DevTools手册中文版免费版
python黑魔法指南pdf2.0 完整版
access 2016宝典电子版完整版
思科路由器配置命令详解及实例pdf 格式可打印版【共46页】
php开发实例大全基础卷pdf【带书签】高清完整版
thinkphp实战电子书高清扫描版
优秀主播必备宝典pdf 格式可打印版
中国电信5g承载和架构技术白皮书pdf 完整版
计算机系统基础pdf高清无水印版
C Primer Plus 第六版pdf高清免费完整版
HTML5+CSS3+JavaScript从入门到精通pdf 中文版
计算机操作系统第四版pdf完整版
xilinx fpga开发实用教程(第2版) pdf格式
ANSYS ICEM CFD从入门到精通pdf格式电子免费版
WEB前端开发全套视频教程下载(项目实战+移动端开发)【99G/百度网盘】
java从入门到精通第6版pdf下载高清完整电子
HCNP路由交换学习指南pdf
vue.js权威指南pdf版完整版【高清无水印】
HCIE路由交换学习指南pdf格式